Il est courant que les routeurs, les caméras de sécurité et autres appareils connectés soient livrés avec le mot de passe “admin” par défaut. Il est encore plus courant que les utilisateurs ne changent pas la combinaison, laissant l’appareil sujet à des attaques. Mais l’État américain de Californie a adopté une loi qui devrait réduire le problème : tous les équipements qui y sont produits ou vendus devraient avoir un mot de passe unique.
Selon la loi, tout “dispositif capable de se connecter à Internet, directement ou indirectement, auquel est attribuée une adresse IP ou Bluetooth” doit apporter un mot de passe unique pour chaque produit depuis l’usine ou exiger que le consommateur en saisisse un nouveau lors de la configuration initiale du produit.
L’objectif est de rendre difficile la création de réseaux de zombies, comme Mirai, qui a supprimé en 2017 d’importants services internet, tels que PlayStation Network, Spotify, Twitter et PayPal. Il a pris le contrôle de plus de 300 000 routeurs et caméras de sécurité, dirigeant le trafic malveillant dans des attaques par déni de service distribué (DDoS) qui ont atteint des pics de plus de 1 térabit par seconde.
Ces botnets détournent généralement des dispositifs vulnérables qui utilisent des mots de passe standard – il est facile de deviner si le panneau d’administration du dispositif peut être consulté avec “admin”, “password” ou “123456”. Et le manque de protection laisse également la place à d’autres types d’attaques, comme celle qui a infecté plus de 90 000 routeurs en France pour voler les données des clients des banques.
La loi commence à s’appliquer le 1er janvier 2020.